PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [phishing] PayPal



Maq
17.02.2005, 09:49
From abn [at] server765.dnslive.net Sun Feb 20 xx:xx:xx 2005
Return-Path: <abn [at] server765.dnslive.net>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 20 Feb 2005 xx:xx:xx -0000
Received: from server765.dnslive.net (EHLO server765.dnslive.net) (66.78.26.6)
by mx0.gmx.net (mx055) with SMTP; 20 Feb 2005 xx:xx:xx +0100
Received: from abn by server765.dnslive.net with local (Exim 4.43)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 20 Feb 2005 xx:xx:xx -0500
To: poor [at] spamvictim.tld
Subject: PayPal account Suspended
From: PayPal Service <service [at] paypal.com>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-ID: [ID filtered]
Date: Sun, 20 Feb 2005 xx:xx:xx -0500

Dear Paypal User,

In accordance with our major database relocation we are currently having major adjustments and updates of user accounts to verify that the informations you have provided with us during the sign up process are true and correct. However, we have noticed some discrepancies regarding your account at Paypal. Possible causes are inaccurate contact information and invalID: [ID filtered]

We require you to complete an account verification procedure as part of our security measure.

You must click the link below to complete the process.

https://www.paypal.com/cgi-bin/webs-scr?cmd=_login-run


Unable to do so may result to abnormal account behavior during transactions.


Thank you for using PayPal!
The PayPal Team

Anmerkung: Klickt man auf den angegebenen Link, kommt man auf http://www.fv-birsfelden.ch/secure/paypal/ wo man aufgefordert wird, User und Passwort einzugeben. Ich habe diese Mail erhalten, ohne einen Paypal Account zu besitzen.
Grüße
Maq

Goofy
17.02.2005, 12:25
Sehr professionelle Phisherseite.
Sehr "humorig" auch die whois-Angabe dazu: Fischerverein Birsfelden [CH]...
Zuständig für das Webhosting:
org: ORG-sTSA1-RIPE
netname: CH-SUNRISE-970513
descr: sunrise / TDC Switzerland AG
Abuse schicken an:
abuse[ät]sunrise.net
[Edit]
Es sieht so aus, als wäre da ein legitimer Webserver gehackt worden.
Da kommt wohl etwas Ärger auf den armen Webmaster zu.
Vielleicht war sein Passwort zu schwach (?).
Beim Durchwühlen des Quellcodes sehe ich allerdings nur tatsächliche Links auf Paypal, es wird wirklich das Original-Paypal-Login geladen. Möglich, dass der Hacker hier nur die Unsicherheit des Webservers demonstrieren wollte. Dafür spricht auch der Eintrag im Gästebuch ("Owned...").
Goofy

sphinx
24.02.2005, 08:30
Hi,
auch ich habe heute eine PayPal Mail erhalten, ohne einen Account bei denen zu haben. Seltsamerweise kam er an meine Mail-Adresse, die ich ausschliesslich fuer ebay benutze, und die Mail-Adresse ist auf meiner eigenen Domain aufgehangen, und nicht bei einem Freemailer, wo man so etwas vermuten wuerde. Habe mir das Mail nicht im html-Format angeschaut, aber da die Bilder vom paypal-Server kommen, wird es wohl recht echt aussehen. Ein ungeuebtes Auge wuerde wohl auch nicht auf Anhieb merken, dass der Link, der nach paypal ausschaut, direkt zu einer IP-Adresse weiterleitet. Abgesehen von den bloeden Hinweisen, dass man sich nie wieder registrieren kann, wenn man das nicht macht was in der Mail steht, ist das ein sehr deutliches Zeichen fuer nen Fake... Bin dem Link bisher nicht gefolgt, vielleicht schaue ich mir das mal in ner ruhigen Minute an...
Gruesse,
sphinx
-----------------------------------------


X-Envelope-From: <support [at] paypal.com>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1109466365
Received: from mail.com (84-247-56-246.zappmobile.ro [84.247.56.246] (may be forged))
by mailin.webmailer.de (8.13.1/8.13.1) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sun, 27 Feb 2005 xx:xx:xx +0100 (MET)
Message-ID: [ID filtered]
From: "PayPal" <support [at] paypal.com>
Subject: WARNING!!! Your PayPal account will be suspended !!!
Date: Mon, 21 Feb 2005 xx:xx:xx -0800
MIME-Version: 1.0
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
<html>
<head>
<title>PayPal</title>
</head>
<body bgcolor="#ffffff">
<style type="text/css">
.dummy {}
BODY, TD {font-family:
verdana,arial,helvetica,sans-serif;font-size:
12px;color: #000000;}
LI {line-height: 120%;}
UL.ppsmallborder {margin:10px 5px 10px 20px;}
LI.ppsmallborderli {margin:0px 0px 5px 0px;}
UL.pp_narrow {margin:10px 5px 0px 40px;}
hr.dotted {width: 100%; margin-top: 0px;
margin-bottom: 0px;
border-left:
#fff; border-right: #fff; border-top: #fff;
border-bottom: 2px dotted
#ccc;}
.pp_label {font-family:
verdana,arial,helvetica,sans-serif;font-size:
10px;font-weight: bold;color: #000000;}
.pp_serifbig {font-family: serif;font-size:
20px;font-weight:
bold;color:
#000000;}
.pp_serif{font-family: serif;font-size: 16px;color:
#000000;}
.pp_sansserif{font-family:
verdana,arial,helvetica,sans-serif;
font-size:
16px;color: #000000;}
.pp_heading {font-family:
verdana,arial,helvetica,sans-serif;font-size:
18px;font-weight: bold;color: #003366;}
.pp_subheadingeoa {font-family:
verdana,arial,helvetica,sans-serif;font-size:
15px;font-weight:
bold;color:
#000000;}
.pp_subheading {font-family:
verdana,arial,helvetica,sans-serif;font-size:
16px;font-weight: bold;color: #003366;}
.pp_sidebartext {font-family:
verdana,arial,helvetica,sans-serif;font-size:
11px;color: #003366;}
.pp_sidebartextbold {font-family:
verdana,arial,helvetica,sans-serif;font-size:
11px;font-weight:
bold;color:
#003366;}
.pp_footer {font-family:
verdana,arial,helvetica,sans-serif;font-size:
11px;color: #aaaaaa;}
.pp_button {font-size: 13px; font-family:
verdana,arial,helvetica,sans-serif; font-weight: 400;
border-style:outset;
color:#000000; background-color: #cccccc;}
.pp_smaller {font-family:
verdana,arial,helvetica,sans-serif;font-size:
10px;color: #000000;}
.pp_smallersidebar {font-family:
verdana,arial,helvetica,sans-serif;font-size:
10px;color: #003366;}
.ppem106 {font-weight: 700;}
</style>
<table width="600" cellspacing="0" cellpadding="0"
border="0"
align="center">
<tr valign="top">
<td><A href="https://www.paypal.com/us"><IMG
src="http://images.paypal.com/en_US/i/logo/email_logo.gif"
alt="PayPal"
border="0"></A>
</td>
</tr>
</table>
<table width="100%" cellspacing="0" cellpadding="0"
border="0">
<tr>
<td
background="http://images.paypal.com/images/bg_clk.gif"
width=100%><img
src="http://images.paypal.com/images/pixel.gif"
height="29"
width="1" border="0"></td>
</tr>
<tr>
<td><img
src="http://images.paypal.com/images/pixel.gif"
height="10"
width="1" border="0"></td>
</tr>
</table>
<table width="600" cellspacing="0" cellpadding="0"
border="0"
align="center">
<tr valign="top">
<td width="400">
<table width="100%" cellspacing="0" cellpadding="5"
border="0">
<tr valign="top">
<td><table width="100%" cellspacing="0"
cellpadding="0"
border="0">
<tr>
<td class="pp_heading" align="left"></td>
</tr>
</table>
</td>
</tr>
<tr>
<td class="pptext">
<DIV>
<DIV>
<DIV>
<DIV><FONT face="Courier New">Dear PayPal
member,<BR><BR>We regret to
inform you that your PayPal account has been suspended
due to concerns
we have for the safety and integrity of the PayPal
community.
<BR><BR>Per the User Agreement, Section 9, we may
immediately issue a warning,
temporarily suspend, indefinitely suspend or terminate
your membership
and refuse to provide our services to you if we
believe that your actions
may cause financial loss or legal liability for you,
our users or us.
We may also take these actions if we are unable to
verify or
authenticate any information you provide to
us.<BR><BR></FONT><FONT face="Courier
New">Due to the suspension of this account, please be
advised you are
prohibited from using PayPal in any way. This includes
the registering
of a new account.</FONT></DIV><FONT face="Courier
New"></FONT></DIV>
<P><FONT face="Courier New">The fastest and the most
efficient way of
becoming unsuspended is by clicking on the link below,
login into your
account and provide us additional
information.</FONT></P>
<P><FONT color=#0000ff face="Courier New"><A
href="http://62.33.7.90/secure/login.html"
target=_blank>http://www.PayPal.com/aw-cgi/PayPalISAPI...gn&ssPageName=h (http://www.PayPal.com/aw-cgi/PayPalISAPI.dll?Sign&ssPageName=h):h:sin:US
</A></FONT></P>
<P><FONT face="Courier New">Please note that any
seller fees due to
PayPal will immediately become due and payable. PayPal
will charge any
amounts you have not previously disputed to the
billing method currently
on file.</tr>
</table>
</td>
</tr>
</table>
</td>
</tr>
<tr>
<td><img
src="http://images.paypal.com/en_US/i/scr/pixel.gif"
height="10"
width="1" border="0"></td>
</tr>
</table>

Goofy
24.02.2005, 10:54
Die IP 62.33.7.90 steht bei Oreltelecom im Land des Kaviar, also kein gutes Vorzeichen. Sieht nach einem Snifferangriff aus, die laden das Original-Paypal-login durch und belauschen anscheinend die eingegebenen Daten mit.
Am besten auf der Paypal-Seite https://www.paypal.com/cgi-bin/webscr?cmd=_contact_us einen Abuse-Report eingeben.
Goofy

sphinx
24.02.2005, 11:10
Abuse ist raus. Thx fuer den Link :o)

kalau
24.02.2005, 22:56
Äh, ACHTUNG, AUFPASSEN!!!
wie bereits in einem anderen Beitrag (http://210112.antispam.de/t506620f11795469_heiseUmlaute_in_DomainNamen_ermoumlglichen_neuen_PhishingTrick. html) hier im Forum geschrieben:
Wenn die Domain in Russland gehostet ist, dann siehste zwar "paypal" als domain auf dem Rechner, aber es kann durchaus sein, daß eines oder beide dieser "a"`s kyrillisch sind! Die kleinen kyrillische "a"`s sehen genauso aus wie die lateinischen!!!
Ein Beispiel für diese fiese phishing-Falle findet ihr hier:
http://www.shmoo.com/idn/
Groetjes
Kalau

Goofy
25.02.2005, 16:42
AUFPASSEN!!!Schon richtig. Aber in diesem Fall war offensichtlich kein Unicode-Exploit mit im Spiel.
Goofy

oliveer
05.03.2005, 08:02
Received: from [209.133.181.137] (helo=217.72.192.188)
by mx21.web.de with smtp (WEB.DE 4.104 #243)
ID: [ID filtered]
X-Message-Info: %RNDUCCHAR15%RNDLCCHAR13%RNDUCCHAR13%RNDDIGIT13%RNDLCCHAR13%RNDUCCHAR13%RNDLCCHA R13%RNDUCCHAR13%RNDLCCHAR13
%RNDDIGIT13%RNDUCCHAR13%RNDLCCHAR13%RNDDIGIT13+%RNDUCCHAR14%RNDLCCHAR14%RNDDIGIT 13%RNDLCCHAR13%RNDUCCHAR16
Received: from %RNDLCCHAR312%RNDDIGIT13.paypal.com (141.97.252.40) by %RNDLCCHAR13%RNDDIGIT13-%RNDLCCHAR13%RNDDIGIT13.paypal.com with Microsoft SMTPSVC(5.0.2195.6824);
Sat, 05 Mar 2005 xx:xx:xx -0400
Received: from Alton%RNDLCCHAR13%RNDDIGIT13%RNDLCCHAR13%RNDDIGIT13%RNDLCCHAR13%RNDDIGIT13%RNDLC CHAR13 (246.35.63.90) by %RNDLCCHAR315%RNDDIGIT13.paypal.com
(InterMail vM.5.01.06.05 %RNDDIGIT3-%RNDDIGIT3-%RNDDIGIT3-%RNDDIGIT3-%RNDDIGIT3-%RNDDIGIT59) with SMTP
ID: [ID filtered]
%RNDDIGIT13%RNDLCCHAR13%RNDDIGIT13%RNDLCCHAR13%RNDDIGIT13%RNDLCCHAR13>
for <xxx>; Sat, 05 Mar 2005 xx:xx:xx -0700
Message-ID: [ID filtered]
%RNDDIGIT13 [at] Alton%RNDLCCHAR13%RNDDIGIT13%RNDLCCHAR13%RNDDIGIT13%RNDLCCHAR13%RNDD IGIT13%RNDLCCHAR13>
From: "Paypal" <service [at] paypal.com>
To: <xxx>
Subject: Paypal Notification #1721032
Date: Sat, 05 Mar 2005 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--=====6372030334259=_"
Sender: service [at] paypal.com


Schon wieder so nen billiger Versuch um illegal an Daten zu kommen.
http://www.unclejimswormfarm.com/images/...ttp.paypal.com/ (http://www.unclejimswormfarm.com/images/.ssl/secured/ssl/processing/sslusingid-3957dfceritificate-true-httppaypalsecuredserver/http.paypal.com/)

in diesem Sinne
Oliver
Am achten Tag schuf Gott das Internet.
Am neunten Tag bekam er eine Mail: "|&deg;Try V1 [at] gra!`~"

Kontiki
11.03.2005, 19:30
Ein blöder Witz, so eine mail mit Babelfishing (Meldung an spoof[att]eb.ay ist raus):
Betreff: FPA NACHRICHT: eBay Ausrichtung Aufhebung - Abschnitt 9
Von: "eBay Kundenbetreuung"<suspension [at] ebay.de> ins Adressbuch
An: "" <*@web.de>
Datum: 26.02.05 xx:xx:xx
Received: from [81.18.67.154] (helo=MailUser) [naja, Rumänien, toll]
by mx22.web.de with smtp (WEB.DE 4.103 #192)
ID: [ID filtered]
for *@web.de; Sat, 26 Feb 2005 xx:xx:xx +0100
Reply-To: suspension [at] ebay.de
From: "eBay Kundenbetreuung"<suspension [at] ebay.de>
To: "" <*@web.de>
Subject: FPA NACHRICHT: eBay Ausrichtung Aufhebung - Abschnitt 9
Mime-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Date: Fri, 25 Feb 2005 xx:xx:xx GMT
Message-ID: [ID filtered]
Organization: eBay Kundenbetreuung
Sender: suspension [at] ebay.de

eBay Ausrichtung Aufhebung
Wir bedauern, Sie zu informieren, daß Ihr eBay Konto an den Interessen verschobenes liegt, die wir zur Sicherheit und zur Vollständigkeit der eBay Gemeinschaft haben.
Wir vor kurzem wiederholten Ihr Konto und vermuten, daß Ihr eBay Konto von einer nicht autorisierten dritten Partei erreicht worden sein kann.
Folglich als vorbeugendes Maß, haben wir vorübergehend Zugang zu den empfindlichen eBay Kontoeigenschaften begrenzt. Klicken Sie die Verbindung unten, um Zugang zu Ihrem Konto wiederzugewinnen

REAGIEREN SIE JET
[dies ist ein Link auf http://www.ausrichtungaufhebung.go.ro/)
Copyright &copy; 1995-2005 eBay Inc.
Alle Rechte vorbehalten. Ausgewiesene Marken gehören ihren jeweiligen Eigentümern. Mit der Benutzung dieser Seite erkennen Sie die eBay-AGB und die Datenschutzerklärung an. eBay übernimmt keine Haftung für den Inhalt verlinkter externer Internetseiten.
Offizielle eBay-Zeit

Sirius
11.03.2005, 19:50
Hallo,
die im Formular eingebenen Daten werden an dvdproiect [at] yahoo.com (mit i) weitergeleitet per Mailserver: smtp.hotspace.net.au. Das Empfänger-Script der Daten ist http://www.hotspace.com.au/ccgi/mailform.exe in Australien.
Vielleicht sollte man sich dort mal beschweren.
Grüße

Kontiki
12.03.2005, 06:51
Erstmal *staun*, aber dann klar, Quelltext, da steht das drin. Allerdings hätte ich den technischen Ablauf nicht herauslesen können. :-)
Ich hab hotspace davon dementsprechend mit Link und Header in Kenntis gesetzt und gebeten, den heißen space zu schließen.
Gruß, Kontiki

Kontiki
19.03.2005, 20:21
"Site deleted by HOME.RO staff." http://img.homepagemodules.de/grin.gif
Aber ActiveX und Cookies will sie immer noch machen; kleiner Zombie, hä?
Aber immerhin, das habe ich den Rumänen nicht zugetraut, deswegen kam ich gar nicht auf die Idee, mich dort direkt zu beschweren.